Punteggio CVSS Base: 9.8 CRITICO

Descrizione:
La vulnerabilità, tracciata come CVE-2025-3248, è una grave falla RCE (Remote Code Execution) non autenticata all'interno di Langflow, un popolare framework open source per la creazione di workflow AI. La falla consente a un attaccante remoto, non autenticato, di prendere il pieno controllo dei server Langflow vulnerabili, nelle versioni precedenti alla 1.3.0, sfruttando un difetto nell'endpoint API /api/v1/validate/code. L'attaccante può inviare richieste HTTP appositamente create per eseguire codice arbitrario.

Langflow è un'applicazione basata su Python che consente agli utenti di creare agenti AI (es. chatbot, assistenti virtuali) e workflow senza scrivere codice. Il sistema si basa sul trascinamento e collegamento dei componenti LLM, con l’aggiunta degli input necessari.

Lo strumento, che conta quasi 60.000 stelle e 6.300 fork su GitHub, è utilizzato da sviluppatori AI, ricercatori e startup per la prototipazione di chatbot, pipeline di dati, sistemi di agenti e applicazioni AI.

CISA ha inoltre confermato che esistono prove dello sfruttamento attivo della vulnerabilità.

Mitigazione consigliata:
La vulnerabilità CVE-2025-3248 è stata corretta nella versione 1.3.0, rilasciata il 1° aprile 2025. Si raccomanda di aggiornare immediatamente a questa versione o a una successiva per mitigare i rischi associati.

CISA ha stabilito che le agenzie federali devono applicare l’aggiornamento di sicurezza o adottare le mitigazioni entro il 26 maggio 2025, oppure cessare l’uso del software.

Se sei stato o sei attualmente vulnerabile a questa falla, ti invitiamo a contattare Integrity360 per ricevere assistenza. Stiamo monitorando la situazione e forniremo ulteriori aggiornamenti quando disponibili.

Riferimenti:
Questa vulnerabilità riguarda un progetto open-source comune, una libreria di terze parti o un protocollo utilizzato da diversi prodotti. Per ulteriori informazioni, consulta:

• https://github.com/advisories/GHSA-c995-4fw3-j39m

• https://www.cisa.gov/news-events/alerts/2025/05/05/cisa-adds-one-known-exploited-vulnerability-catalog

• https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities

• https://horizon3.ai/attack-research/disclosures/unsafe-at-any-speed-abusing-python-exec-for-unauth-rce-in-langflow-ai/

• https://www.bleepingcomputer.com/news/security/critical-langflow-rce-flaw-exploited-to-hack-ai-app-servers/

• https://cwe.mitre.org/data/definitions/306

Se sei preoccupato per una delle minacce indicate in questo bollettino o hai bisogno di aiuto per determinare i passi da seguire per proteggere la tua organizzazione dalle minacce più rilevanti, contatta il tuo account manager oppure mettiti in contatto con noi per scoprire come possiamo aiutarti a difendere la tua azienda.